正文 

当前位置: 首页 > java > java教程

第二百七十四节,同源策略和跨域访问

林贵秀 林贵秀     2022-09-02     190

关键词:

同源策略和跨域访问 

 

什么是同源策略

 尽管浏览器的安全措施多种多样,但是要想黑掉一个Web应用,只要在浏览器的多种安全措施中找到某种措施的一个漏洞或者绕过一种安全措施的方法即可。浏览器的各种保安措施之间都试图保持相互独立,但是攻击者只要能在出错的地方注入少许JavaScript,所有安全控制几乎全部瓦解——最后还起作用的就是最弱的安全防线:同源策略。同源策略管辖着所有保安措施,然而,由于浏览器及其插件,诸如Acrobat Reader、Flash 和Outlook Express漏洞频出,致使同源策略也频频告破。
  既然web应用的最弱安全防线是同源策略,那什么是同源策略呢?如何去攻破同源策略呢?如何黑web应用呢?
  同源策略,它是由Netscape提出的一个著名的安全策略。所有支持javascript的网站都会使用同源策略来保护自己的web应用。
  同源策略又名同域策略,通俗易懂的来说,同源就是(主机名+协议+端口号【若存在】)三者相同。也就是说javascript只可以操作自己域下的东西,不能操作其他域下的东西。比如百度下javascript是不可操作谷歌下的页面。

  那为什么要同源策略呢?
  如上述所述,同源策略,javascript操作自己web应用,不得操作别人web应用。既然如此,也就是别人无法操作自己web应用,是保证web安全的一种方式。
  假设别人可以操作自己web应用,试想是否很可怕?假如你打开网银页面,蹦出一个恶意广告,当你关闭广告,若没有同源策略,是不是代表恶意广告会操作你网银页面,通过javascript窃取你网银的信息。
  那了解了同源策略,下面举几个url判断是否在同一个域中。
  假设url地址:http://store.company.com/dir/page.html检测下面是否他的同源地址。
  其url的协议:http;主机名:store.company.com 端口号没有或者其相应服务器的默认值


URL 结果 原因
http://store.company.com/dir2/other.html
http://store.company.com/dir/inner/another.html
https://store.company.com/secure.html 不是 协议不相同
http://store.company.com:81/dir/etc.html 不是 端口号不相同
http://news.company.com/dir/other.html 不是 主机名不相同

 
  任何事物都是相对的,既然存在同源策略,肯定会存在访问不同源的情况。那该怎么办呢?
  上文也提到,同源即同域,不同源,即跨域。
  那我若想跨域,怎么办呢?

浏览器的同源策略和跨域访问(代码片段)

1.什么是同源策略    理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。   何谓同源:       URL由协议、域名、端口和路径组成,... 查看详情

第二百七十一节,tornado框架-csrf防止跨站post请求伪造

Tornado框架-CSRF防止跨站post请求伪造CSRF是什么CSRF是用来在post请求时做请求验证的,防止跨站post请求伪造当用户访问一个表单页面时,会自动在表单添加一个隐藏的input标签,name="_xsrf",value="等于一个密串"当用户post请求提交数... 查看详情

同源和跨域(代码片段)

理解什么是同源,跨域同源:域名、协议、端口完全相同。跨域:域名、协议、端口有其中的一样不同。什么是同源策略同协议、同domain(或ip)、同端口,视为同一个域,一个域内的脚本仅仅具有本域内的权限。理解:本域脚... 查看详情

同源策略和跨域问题

1同源策略所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。那么先定义下什么是同源,所谓同源,就是指两个页面具有相同的协议,主机(也常说... 查看详情

也谈谈同源策略和跨域问题

1同源策略所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。那么先定义下什么是同源,所谓同源,就是指两个页面具有相同的协议,主机(也常说... 查看详情

第二百七十节,tornado框架-生成验证码图片,以及验证码结合session验证

Tornado框架-生成验证码图片,以及验证码结合Session验证 第一、生成验证码图片 生成验证码图片需要两个必须模块  1、python自带的random(随机模块)  2、Pillow()图像处理模块里的PIL(图像库),为第三方模块,需要安装&nbs... 查看详情

第二百二十四节,jqueryeasyui,combogrid(数据表格下拉框)组件

jQueryEasyUI,ComboGrid(数据表格下拉框)组件 学习要点:  1.加载方式  2.属性列表  3.方法列表 本节课重点了解EasyUI中ComboGrid(数据表格下拉框)组件的使用方法,这个组件依赖于Combo(自定义下拉框)和DataGrid(数据表格)组... 查看详情

浏览器的同源策略和跨域问题

要理解跨域问题,必须得知道什么是同源策略。什么是同源策略?何谓同源:       URL由协议、域名、端口和路径组成。    如果两个URL的协议、域名和端口相同,则表示他们同源。同源策... 查看详情

同源策略和跨域资源共享

...据。查了相关资料才发现有跨域问题。    同源策略(Same-OriginPolicy)        同源策略,它是由Netscape提出的一个著名的 查看详情

同源策略和跨域解决方案cors(代码片段)

文章目录同源策略CORS简介CORS请求模型SpringBoot实现CORS显示设置头部注解@CrossOrigin全局配置同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则... 查看详情

同源策略和跨域解决方案cors(代码片段)

文章目录同源策略CORS简介CORS请求模型SpringBoot实现CORS显示设置头部注解@CrossOrigin全局配置同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则... 查看详情

同源策略和跨域解决方案cors(代码片段)

文章目录同源策略CORS简介CORS请求模型SpringBoot实现CORS显示设置头部注解@CrossOrigin全局配置同源策略同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则... 查看详情

django--同源策略和跨域解决方案

目录同源策略一个源的定义同源策略是什么举个例子jQuery中getJSON方法JSONP应用1,同源策略1.1一个源的定义如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。举个例子:下表给出了相对http://a.xy... 查看详情

同源策略和跨域(代码片段)

...稍稍的探讨一下为什么会有"跨域"问题的出现,和所谓的"同源策略"同源策略1.历史1995年由Netscape公司提出,之后被其他浏览器厂商采纳。同源策略只是一个规范,并没有指定其具体的使用范围和实现方式,各个浏览器厂商都针对... 查看详情

同源策略和跨域资源共享(cros)(代码片段)

同源策略(Same-originpolicy):https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy跨域资源共享(Cross-OriginResourceSharing):https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS对于前端工具搭建了服务器产生 查看详情

同源策略和跨域解决方案(代码片段)

同源策略一个源的定义如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。举个例子:下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL结果原因http://a.xyz.com/dir2/other.html成功 htt... 查看详情

同源策略和跨域解决方案(代码片段)

 同源策略一个源的定义如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。举个例子:下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL结果原因http://a.xyz.com/dir2/other.html成功&nb... 查看详情

人生的诗·270~274节

第二百七十节 等待等待着与你一日的欢聚诉说无言的相思那相思滴落在你的滚烫的眼泪里爱情的花开了花开在心里我开始等待结果的季节了第二百七十一节 苦味那滋味静静地跌落在人世的尘土里就像是折翼的雀从天空陨... 查看详情